エレコム無線LAN関連製品における複数の脆弱性
| Title |
エレコム無線LAN関連製品における複数の脆弱性
|
| Summary |
エレコム株式会社が提供する無線LAN関連製品には、次の複数の脆弱性が存在します。<ul><li>クロスサイトリクエストフォージェリ(CWE-352)- CVE-2026-20704</li><li>OSコマンドインジェクション(CWE-78)- CVE-2026-22550</li><li>脆弱な認証情報の使用(CWE-1391)- CVE-2026-24449</li><li>スタックベースのバッファオーバーフロー(CWE-121)- CVE-2026-24465</li></ul> CVE-2026-20704、CVE-2026-22550 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 CVE-2026-24449 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:佐藤 壮 氏 CVE-2026-24465 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 飯田 雅裕 氏
|
| Possible impacts |
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。<ul><li>当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2026-20704)</li><li>当該製品にログインした状態のユーザによって任意のOSコマンドを実行される(CVE-2026-22550)</li><li>当該製品の情報から、初期パスワードを特定される(CVE-2026-24449)</li><li>細工されたパケットを処理することで、任意のコードを実行される(CVE-2026-24465)</li></ul> |
| Solution |
[ファームウェアをアップデートし適切な設定を行う、あるいは製品の使用を停止する] サポート期間中のモデルについては、ファームウェアの更新が提供されています。 開発者が提供する情報をもとに、最新版へアップデートしてください。 WAB-S733IW-PDおよびWAB-S300IW-PDのサポートは既に終了しているため、製品の使用を停止してください。 ファームウェアをアップデートした後、管理ページへのアクセスやWi-Fi接続のためのパスワードを推測の難しい堅牢なパスワードに変更してください。 |
| Publication Date |
Feb. 3, 2026, midnight |
| Registration Date |
Feb. 3, 2026, 2:15 p.m. |
| Last Update |
Feb. 3, 2026, 2:15 p.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| エレコム株式会社 |
|
WAB-S300IW-AC v5.5.00およびそれ以前のバージョン(CVE-2026-24465)
|
|
WAB-S300IW-PD すべてのバージョン(CVE-2026-24465)
|
|
WAB-S300IW2-PD v5.5.00およびそれ以前のバージョン(CVE-2026-24465)
|
|
WAB-S733IW-AC v5.5.00およびそれ以前のバージョン(CVE-2026-24465)
|
|
WAB-S733IW-PD すべてのバージョン(CVE-2026-24465)
|
|
WAB-S733IW2-PD v5.5.00およびそれ以前のバージョン(CVE-2026-24465)
|
|
WRC-X1500GS-B v1.12およびそれ以前のバージョン(CVE-2026-20704、CVE-2026-22550)
|
|
WRC-X1500GS-B すべてのバージョン(CVE-2026-24449)
|
|
WRC-X1500GSA-B v1.12およびそれ以前のバージョン(CVE-2026-20704、CVE-2026-22550)
|
|
WRC-X1500GSA-B すべてのバージョン(CVE-2026-24449)
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年02月03日]
掲載 |
Jan. 30, 2026, 5:44 p.m. |
NVD Vulnerability Information
CVE-2026-22550
| Summary |
OS command injection vulnerability exists in WRC-X1500GS-B and WRC-X1500GSA-B. A crafted request from a logged-in user may lead to an arbitrary OS command execution.
|
| Summary |
Existe una vulnerabilidad de inyección de comandos del sistema operativo en WRC-X1500GS-B y WRC-X1500GSA-B. Una solicitud manipulada de un usuario autenticado puede conducir a la ejecución arbitraria de comandos del sistema operativo.
|
| Publication Date |
Feb. 3, 2026, 4:16 p.m. |
| Registration Date |
April 15, 2026, 11:19 a.m. |
| Last Update |
April 10, 2026, 11:35 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wrc-x1500gsa-b_firmware:*:*:*:*:*:*:*:* |
|
1.13 |
|
|
| cpe:2.3:o:elecom:wrc-x1500gs-b_firmware:*:*:*:*:*:*:*:* |
|
1.13 |
|
|
| Configuration2 |
or higher |
or less |
more than |
less than |
Related information, measures and tools
Common Vulnerabilities List
CVE-2026-24449
| Summary |
For WRC-X1500GS-B and WRC-X1500GSA-B, the initial passwords can be calculated easily from the system information.
|
| Summary |
Para WRC-X1500GS-B y WRC-X1500GSA-B, las contraseñas iniciales se pueden calcular fácilmente a partir de la información del sistema.
|
| Publication Date |
Feb. 3, 2026, 4:16 p.m. |
| Registration Date |
April 15, 2026, 11:19 a.m. |
| Last Update |
April 10, 2026, 11:51 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wrc-x1500gsa-b_firmware:*:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:elecom:wrc-x1500gs-b_firmware:*:*:*:*:*:*:*:* |
|
|
|
|
| Configuration2 |
or higher |
or less |
more than |
less than |
Related information, measures and tools
Common Vulnerabilities List
CVE-2026-24465
| Summary |
Stack-based buffer overflow vulnerability exists in ELECOM wireless LAN access point devices. A crafted packet may lead to arbitrary code execution.
|
| Summary |
Vulnerabilidad de desbordamiento de búfer basado en pila existe en dispositivos de punto de acceso LAN inalámbrica ELECOM. Un paquete manipulado puede conducir a ejecución de código arbitrario.
|
| Publication Date |
Feb. 3, 2026, 4:16 p.m. |
| Registration Date |
April 15, 2026, 11:19 a.m. |
| Last Update |
April 14, 2026, 9:59 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wab-s300iw-pd_firmware:*:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:elecom:wab-s733iw-pd_firmware:*:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:elecom:wrc-x1500gsa-b_firmware:*:*:*:*:*:*:*:* |
|
|
|
1.13 |
| cpe:2.3:o:elecom:wrc-x1500gs-b_firmware:*:*:*:*:*:*:*:* |
|
|
|
1.13 |
| cpe:2.3:o:elecom:wab-s300iw2-pd_firmware:*:*:*:*:*:*:*:* |
|
|
|
5.5.02 |
| cpe:2.3:o:elecom:wab-s300iw-ac_firmware:*:*:*:*:*:*:*:* |
|
|
|
5.5.02 |
| cpe:2.3:o:elecom:wab-s733iw2-pd_firmware:*:*:*:*:*:*:*:* |
|
|
|
5.5.02 |
| cpe:2.3:o:elecom:wab-s733iw-ac_firmware:*:*:*:*:*:*:*:* |
|
|
|
5.5.02 |
| Configuration2 |
or higher |
or less |
more than |
less than |
Related information, measures and tools
Common Vulnerabilities List